2026年1月1日起，新修订的《网络安全法》将正式施行。

　　《网络安全法》是网络安全领域的基础性法律，自2017年6月1日施行以来，对于维护国家网络空间主权、安全和发展利益，保护各方主体在网络空间的合法权益发挥了重要作用。近年来，网络安全风险进一步凸显，利用网络从事网络入侵、网络攻击、传播违法信息等违法行为屡有发生，这些新型挑战要求法律必须做出回应。为此，2025年10月28日，十四届全国人大常委会第十八次会议表决通过《关于修改〈中华人民共和国网络安全法〉的决定》，这是《网络安全法》施行以来的首次重大调整，新增坚持中国共产党对网络安全工作的领导，统筹网络发展和安全，推进网络强国建设；明确国家支持创新网络安全管理方式，运用人工智能等新技术提升网络安全保护水平；在个人信息保护方面做好与《民法典》《个人信息保护法》等法律的衔接。值得注意的是，新修订的《网络安全法》重点是法律责任全面升级，显著加大对网络运营者未履行安全保护义务的罚款幅度，对关键信息基础设施的运营者不履行法律规定义务加大处罚力度，这必将对各类网络运营者产生深远影响。电信运营商应当主动适应新法律环境的变化，尽快建立与新法要求相适应的企业合规体系，有效防范法律风险。

　　构建人工智能的治理框架

　　随着网络应用的快速普及，相关安全风险开始凸显，利用网络从事非法入侵、网络攻击、传播违法信息等行为屡有发生，滥用人工智能技术实施违法犯罪活动频发，AI算法漏洞、训练数据污染、生成式AI传播虚假信息等新型安全事件频发，网络攻击手段呈现向“智能化、精准化”演变的态势，传统的“被动防御”模式难以有效应对，基于AI赋能的网络安全防护体系升级刻不容缓。此次修改新增AI条款，就是通过基础法律层面的顶层设计，为遏制技术滥用提供法治依据。

　　在国家法律层面明确了支持与规范并重的治理思路，既鼓励人工智能技术研发与基础设施建设，也强调要加强安全监管和伦理规范，为人工智能的健康有序发展提供了法律指引。新法提出“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。”这是我国首次在网络安全领域的基础性法律中纳入人工智能监管内容，体现国家在人工智能发展上的核心思路。新法与《生成式人工智能服务管理暂行办法》等政策规章衔接，形成“法律+行政法规+标准”的治理体系。任何研发或利用AI技术的企业，都必须认真考虑安全、伦理和合规风险，否则将面临法律追责。

　　规定网络安全事件的报告制度

　　新法明确“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”关键信息基础设施运营者需要建立供应链安全审查机制，对网络产品和服务进行全生命周期管理。网络安全事件是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和信息系统或其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件。国家互联网信息办公室发布的《国家网络安全事件报告管理办法》于2025年11月1日起施行。该管理办法提出“涉及关键信息基础设施的，网络运营者应当第一时间向保护工作部门、公安机关报告，最迟不得超过1小时。属于重大、特别重大网络安全事件的，保护工作部门在收到报告后，应当第一时间向国家网信部门、国务院公安部门报告，最迟不得超过半小时。”该管理办法明确《网络安全事件分级指南》作为办法附件，参照国家标准《信息安全技术　网络安全事件分类分级指南》（GB/T 20986-2023）制定，明确特别重大、重大、较大、一般等四个级别网络安全事件的分级定量指标。网络运营者应当以合同等形式要求为其提供网络安全、系统运维等服务的组织或个人，及时向其报告监测发现的网络安全事件。

　　明确数据安全与跨境流动规则

　　新法进一步明确重要数据出境的管理要求，规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”

　　在加强跨境监管方面，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等十三部门制定的《网络安全审查办法》规定，关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。国家网信办出台实施的《促进和规范数据跨境流动规定》，明确不涉及个人信息或重要数据的一般数据可自由流动，规定跨境购物、跨境寄递、跨境汇款、跨境支付、机票酒店预订、跨境人力资源管理、境外数据加工等免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境情形，放宽数据跨境流动条件，收窄数据出境安全评估范围，促进数据跨境流动的健康发展。

　　法律责任全面升级

　　新修改的《网络安全法》全面完善网络运营单位、网络产品服务单位、网络安全服务机构的法律责任，通过精准区分不同违法行为对应的危害结果，规定行政处罚的幅度，严重违法行为既追究实施单位的责任又追责到人，显著提升罚款金额，明确实施消除危害结果的法定责任。

　　加大违法责任主体的行政处罚力度。新修订的《网络安全法》针对网络运营单位、网络安全服务单位、网络安全设备与产品提供单位等责任主体，完善了个人信息处理、安全保护、违法信息处理以及缺陷产品等方面违法行为的法律责任。一是加大对一般违法行为的处罚力度。比如修改决定第五条对网络运营者违反安全保护义务的行为，显著加大对一般违法行为的行政处罚力度。二是提高严重违法的罚款金额。新法普遍提高了对违法行为的行政处罚金额与量罚幅度，对拒不改正或者导致危害网络安全结果的行为，罚款数额提高。三是新法区分造成大量数据泄露、关键信息基础设施丧失局部功能等严重情形，以及造成关键信息基础设施丧失主要功能等特别严重情形，大幅提高了罚款幅度。对网络运营者不履行网络安全保护义务的行为，罚款上限已提高至一千万元，对直接负责的主管人员和其他直接责任人员的罚款也高达一百万元。新法一方面加大了对严重违法行为的处罚力度，另一方面强化了对责任人员的行政处罚。四是明确限制性从业规定。从事危害网络安全的活动，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

　　明确可以从轻或者减轻行政处罚的情形。新修订的《网络安全法》体现科学合理的监管思路，在加大违法行为处罚力度的同时，也增加了从轻、减轻或者不予行政处罚的规定。明确网络运营者存在主动消除或者减轻违法行为危害后果情形的，具有《行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚，体现惩戒与教育相结合的现代监管理念。《行政处罚法》第三十二条规定，违法行为轻微并及时改正，没有造成危害后果的，不予行政处罚。初次违法且危害后果轻微并及时改正的，可以不予行政处罚。当事人有证据足以证明没有主观过错的，不予行政处罚。预防型免责是大多数企业开展合规体系建设的常规方式，是企业在没有出现违反合规事件以前开展的工作，和救济型免责相比，体系建设的自主性强，电信运营商按照新法既定要求开展有效性合规体系建设是主动适应法治环境变化的需要。企业发生危机风险事件还是要主动采取措施补救，做好留痕工作，保存相关证据；被处罚前，应据理力争，依法维护正当权益。

　　建立健全企业一体化合规管理机制

　　新修订的《网络安全法》要求电信运营商面对行政监管和法律制度，建立健全合规、法律、内控、风控一体化的合规管理机制。以前可能应付完一个检查就行，现在需要建立统一的网络与数据合规体系，同时满足多部法律不同责任主体的合规义务要求，合规的复杂度和系统性要求明显加大。按照新修订的《网络安全法》要求，需要尽快开展差距分析对照新法梳理现有网络安全制度，重点检查数据分类分级、供应链安全审查、日志留存等机制是否符合要求，及时整改存在的问题。对人工智能应用场景，需要评估生成内容的合法性与伦理风险，制定标识方案和应急预案。组织全员合规培训，加强技术投入与人员培训采用零信任架构、隐私计算等技术提升防护能力，定期开展渗透测试和应急演练。建立常态化合规监测关注行业指南和标准，动态调整合规策略。实施有效性合规体系评价，与第三方机构合作，定期进行合规审计和风险评估，避免因法律修订导致滞后性违法。按照《行政处罚法》精准把握“主动消除危害”“配合调查”等法定从轻、减轻情节，将合规管理转化为从轻、减轻或不予处罚的法定事实。